Ένας προηγουμένως μη τεκμηριωμένος information stealer με βάση τα Windows που ονομάζεται ThirdEye ανακαλύφθηκε, με δυνατότητες να συλλέγει ευαίσθητα δεδομένα από μολυσμένους υπολογιστές.
Δείτε επίσης: Προτεραιότητες στην προετοιμασία για μια επίθεση ransomware: άνθρωποι, διαδικασίες και τεχνολογία
Δείτε επίσης: Mobile Malware και phishing sites για κινητά αυξήθηκαν το 2022
Η Fortinet FortiGuard Labs, που έκανε την ανακάλυψη, είπε ότι βρήκε το κακόβουλο λογισμικό σε ένα εκτελέσιμο αρχείο που μεταμφιέστηκε σε αρχείο PDF με ρωσική ονομασία “CMK Правила оформления больничных листов.pdf.exe”, που μεταφράζεται σε “CMK Rules for issuing sick leaves.pdf.exe.”
Ο φορέας άφιξης του κακόβουλου λογισμικού είναι προς το παρόν άγνωστος, αν και η φύση του δέλεαρ υποδεικνύει ότι χρησιμοποιήθηκε σε μια εκστρατεία phishing. Το πρώτο δείγμα ThirdEye μεταφορτώθηκε στο VirusTotal στις 4 Απριλίου 2023, με σχετικά λιγότερα χαρακτηριστικά.
Ο εξελισσόμενος stealer, όπως και άλλες οικογένειες κακόβουλου λογισμικού του είδους του, είναι εξοπλισμένος για να συλλέγει μεταδεδομένα του συστήματος, συμπεριλαμβανομένης της ημερομηνίας έκδοσης και του προμηθευτή του BIOS, του συνολικού/ελεύθερου χώρου στο δίσκο C, των διεργασιών που εκτελούνται επί του παρόντος, των καταχωρημένων ονομάτων χρηστών και των πληροφοριών volume. Τα συγκεντρωμένα στοιχεία διαβιβάζονται στη συνέχεια σε έναν διακομιστή εντολών και ελέγχου (C2).
Ένα αξιοσημείωτο χαρακτηριστικό του κακόβουλου λογισμικού είναι ότι χρησιμοποιεί το string “3rd_eye” για να γνωστοποιήσει την παρουσία του στον διακομιστή C2.
Δεν υπάρχουν ενδείξεις που να υποδηλώνουν ότι το ThirdEye έχει χρησιμοποιηθεί από τους χάκερ. Τούτου λεχθέντος, δεδομένου ότι η πλειονότητα των αντικειμένων κλοπής μεταφορτώθηκαν στο VirusTotal από τη Ρωσία, είναι πιθανό ότι η κακόβουλη δραστηριότητα στοχεύει σε ρωσόφωνους οργανισμούς.
“Αν και αυτό το κακόβουλο λογισμικό δεν θεωρείται εξελιγμένο, έχει σχεδιαστεί για να κλέβει διάφορες πληροφορίες από παραβιασμένα μηχανήματα που μπορούν να χρησιμοποιηθούν ως εφαλτήριο για μελλοντικές επιθέσεις”, δήλωσαν οι ερευνητές της Fortinet, προσθέτοντας ότι τα δεδομένα που συλλέγονται είναι “πολύτιμα για την κατανόηση των πιθανών στόχων“.
Η εξέλιξη αυτή έρχεται καθώς trojanized installers για το δημοφιλές franchise βιντεοπαιχνιδιών Super Mario Bros που φιλοξενούνται σε πρόχειρους ιστότοπους torrent χρησιμοποιούνται για τη διάδοση cryptocurrency miner και ενός stealer ανοιχτού κώδικα γραμμένου σε C# με την ονομασία Umbral, ο οποίος διαχέει δεδομένα ενδιαφέροντος χρησιμοποιώντας Discord Webhooks.
“Ο συνδυασμός δραστηριοτήτων εξόρυξης και κλοπής οδηγεί σε οικονομικές απώλειες, σημαντική μείωση της απόδοσης του συστήματος του θύματος και εξάντληση πολύτιμων πόρων του συστήματος”, δήλωσε η Cyble.
Οι χρήστες βιντεοπαιχνιδιών έχουν επίσης στοχοποιηθεί με ransomware βασισμένο στην Python και ένα trojan απομακρυσμένης πρόσβασης με την ονομασία SeroXen, το οποίο έχει βρεθεί ότι εκμεταλλεύεται μια εμπορική μηχανή συσκότισης αρχείων παρτίδας γνωστή ως ScrubCrypt (αναφέρεται επίσης ως BatCloak) για να αποφύγει την ανίχνευση. Τα στοιχεία δείχνουν ότι τα άτομα που συμμετείχαν στην ανάπτυξη του SeroXen συνέβαλαν επίσης στη δημιουργία του ScrubCrypt.
Το malware, το οποίο διαφημίστηκε προς πώληση σε έναν ιστότοπο clearnet που καταχωρήθηκε στις 27 Μαρτίου 2023 πριν από το κλείσιμό του στα τέλη Μαΐου, προωθήθηκε περαιτέρω στο Discord, το TikTok, το Twitter και το YouTube. Μια σπασμένη έκδοση του SeroXen έχει επίσης βρεθεί σε εγκληματικά φόρουμ.
Δείτε επίσης: Akira ransomware: Η έκδοση Linux στοχεύει διακομιστές VMware ESXi
Τα άτομα συνιστάται έντονα να υιοθετούν μια επιφυλακτική στάση όταν συναντούν συνδέσμους και πακέτα λογισμικού που σχετίζονται με όρους όπως “cheats”, “hacks”, “cracks” και άλλα κομμάτια λογισμικού που σχετίζονται με την απόκτηση ανταγωνιστικού πλεονεκτήματος, σημειώνει η Trend Micro σε μια νέα ανάλυση του SeroXen.
Πηγή πληροφοριών: thehackernews.com
